-
Junior Member
- Вес репутации
- 57
После лечения Win32.HLLW.Shadow.based
После лечения с livecd с помошью dr web cure it. Система загружается, но процесс explorer загружает постоянно процессор на 50% и панель задачь не доступна (когда на нее наводишь курсор менят вид на часики). То ли вирус не до конца грохнулся, то ли система испортилась. помогите разобраться.
Сейчас компьютер не подключен в сеть, до выяснения обстоятельств.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\mssrv32.exe','');
DeleteFile('C:\WINDOWS\system32\mssrv32.exe');
DeleteFile('F:\autorun.inf');
QuarantineFile('C:\DEEP\FREEZ\xob.exe','');
QuarantineFile('C:\KALBA\MAAFENA\LAXOURY.exe','');
QuarantineFile('C:\Zolander\Polanda\box.exe','');
DeleteFile('C:\KALBA\MAAFENA\LAXOURY.exe');
DeleteFile('C:\DEEP\FREEZ\xob.exe');
DeleteFile('C:\Zolander\Polanda\box.exe');
DelCLSID('12LOP3S8-1VRX-81VS-JKL6-61OP5G7774441');
DelCLSID('23MAD6M8-1MAD-77AD-JIM1-73OP5G7769085');
DeleteFileMask('C:\Zolander','*.*',true);
DeleteFileMask('C:\KALBA','*.*',true);
DeleteFileMask('C:\DEEP','*.*',true);
BC_ImportAll;
ExecuteSysClean;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
-
-
Junior Member
- Вес репутации
- 57
-
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Zolander\Polanda\box.exe');
DeleteFileMask('C:\Zolander','*.*',true);
DeleteDirectory('C:\Zolander');
DeleteDirectory('C:\KALBA');
DeleteDirectory('C:\DEEP');
DelCLSID('23MAD6M8-1MAD-77AD-JIM1-73OP5G7769085');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\Zolander\Polanda\box.exe');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 57
-
заархивируйте файл C:\Zolander\Polanda\box.exe в zip-архив с паролем virus и пришлите
-
-
Junior Member
- Вес репутации
- 57
При Добавления карантина по списку, пишет:
Ошибка карантина файла, попытка прямого чтения (C:\Zolander\Polanda\box.exe)
Захожу с помошью WinRar проводника в папку Polander, она пустая. Заархивировать могу тока папку Polanda, но в архиве тока папка пустая получается.
Far и CureIt тоже не видят никаких файлов в папке Polanda
Последний раз редактировалось expe; 23.03.2010 в 10:43.
-
Запустите AVZ, выберите меню сервис - менеджер Active Setup
Удалите оттуда: C:\Zolander\Polanda\box.exe
после сделайте новый лог virusinfo_syscheck.zip
-
-
Junior Member
- Вес репутации
- 57
-
В логе чисто.
вот это
Windows XP SP2
Internet Explorer v6.00 SP2
- надо обязательно обновить
- SP2 обновите до Service Pack 3(может потребоваться активация)
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- поставте все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\mssrv32.exe - Worm.Win32.AutoRun.bffz ( BitDefender: Trojan.Generic.746202, AVAST4: Win32:Trojan-gen )
- f:\autorun.inf - Worm.Win32.FlyStudio.cu ( BitDefender: Trojan.AutorunINF.Gen, NOD32: INF/Autorun.gen trojan, AVAST4: VBS:Malware-gen )
-